Pravdepodobne nikto nebude riskovať a kradnúť údaje o najazdených kilometroch susedovho auta alebo množstve súčiastok vyrobených v konkurenčnom závode. Cieľom útoku však nemusí byť samotný užívateľ prístroja, ale spoločnosť, ktorej údaje unikli.
Pripojené zariadenia v IoT prinášajú obmedzenia, bezpečnostné výzvy, ale aj rôzne prístupy k ich riešeniu. Vývoj nových technológií so sebou prináša nové riziká a požiadavky na bezpečnosť a ochranu osobných údajov. Výrobcovia zariadení (ďalej len ako OEM) rozširujú existujúce systémy o inovatívne technológie. Väčšinou napr. o snímače, výpočtové a úložné zariadenia pre veľké dátové aplikácie a streaming edge analytika pre cloud.
Podnikatelia sa vo všetkých aspektoch svojej činnosti čoraz viac spoliehajú na inteligentne prepojené zariadenia. Prechod zo súkromných sietí do celopodnikových sietí cez verejný internet odhaľuje bezpečnostné riziká, ktoré predtým neboli pozorované.
Predpokladá sa, že celosvetové prijatie IoT a cloud technológií do roku 2020 dosiahne viac ako 20 miliárd zariadení. Viac zariadení online znamená viac zariadení, ktoré potrebujú ochranu.
Staré priemyselné zariadenia a zariadenia na báze brownfieldov, ktoré sú podstatné pre infraštruktúru krajiny, sa tak stávajú ľahkým cieľom útokov. Hovoríme tu o elektrických sieťach, komunikačnej infraštruktúre a pod. Množstvo, rôznorodosť a vek týchto zariadení značne zjednoduší možnosti potenciálnych útokov.
Ako je teda možné v komplexnom ekologickom systéme IoT zabezpečiť, aby pripojené zariadenia zostali bezpečné?
OEM, poskytovatelia riešení, systémoví integrátori a koncoví užívatelia potrebujú vytvoriť komplexnú viacvrstvovú stratégiu, ktorá zabezpečí koncovú ochranu ich zavedených IoT zariadení. Tradičné riešenia, ktoré používajú sieťové firewally a protokoly, poskytujú ochranu len proti vysokej úrovni internetovej prevádzky.
Prvá vrstva bezpečnostnej stratégie IoT začína tým, že chráni hardvér a softvér samotného pripojeného zariadenia.
Jeden z najčastejšie prehliadaných vrstiev IoT je ŽIVOTNÝ CYKLUS. Zabezpečenie sa musí riešiť:
- od počiatočného návrhu výrobcu zariadenia,
- cez prevádzkové prostredie užívané koncovým používateľom alebo systémovým integrátorom,
- až po konečné vyradenie z prevádzky.
Bezpečnostné problémy zdieľané viacerými stranami riešia technológie založené na hardvéri a anti-malware. TRUSTED alebo SECURE BOOT vyžaduje od zariadení overenie firmvéru a softvérových balíkov počas bootovania cez kryptografiu. Keď je pripojené zariadenie zapnuté, overí sa pravosť a integrita softvéru v zariadení pomocou šifrovaných digitálnych podpisov.
Tieto digitálne podpisy sú priložené k softvérovému image-u a potvrdené zariadením, aby sa zabezpečilo, že na zariadení budú spustené iba autorizované softvéry podpísané určenými entitami zariadenia. Vstavané zariadenia by mali mať zabezpečené ukladanie certifikátov, ktoré sú naprogramované počas výroby, aby sa vytvoril dôveryhodný koreňový certifikát.
Akonáhle vznikne dôvera, pripojené zariadenie stále potrebuje ochranu pred rôznymi hrozbami v priebehu prevádzky a škodlivými stranami. Mnohí výrobcovia zariadení IoT začali používať WHITELISTING APLIKÁCIE na svojich nových pripojených produktoch, aby zabezpečili, že zariadenia nebudú na úrovni aplikácií ohrozené. Namiesto blacklisting (čiernej listiny) sa použili technológie whitelistingu (bielej listiny). Využívajú sa na zachovanie prevádzky starších zariadení v reálnom čase, ktoré nemôžu spúšťať bežné antivírusové aplikácie. Pri centrálne spravovanom prostredí whitelisting aplikácia zastavuje malware a iného neautorizovaného softvéru tým, že umožňuje iba indexovaným aplikáciám možnosť bežať na zariadení. Konvenčný antivírusový softvér a iné bezpečnostné technológie počítača blokujú známu nesprávnu činnosť a zároveň umožňujú všetko ostatné.
Na druhej strane, whitelisting aplikácia považuje všetky dáta za nesprávne, kým nie sú overené v nejakom kontrolnom procese dát, a teda ich blokuje.
Správna KONTROLA PRÍSTUPU je založená na princípe minimálneho oprávnenia. Ten stanovuje, že by prístup na vykonanie funkcie mal byť povolený iba minimálne. Obmedzí sa tak vplyv porušenia bezpečnosti. Mechanizmy kontroly prístupu založené na zariadeniach sú analógové s kontrolnými systémami založenými na sieti. Ak dôjde k narušeniu ktoréhokoľvek komponentu, kontrola prístupu zabezpečuje, že narušiteľ má prístup iba k obmedzeným častiam systému.
OEM by si mali vyberať zariadenia, ktoré im umožnia konfigurovať viacerých používateľov a priradiť im granulárne povolenia na prístup k rôznym funkciám zariadenia.
ZABEZPEČENIE SIETE by malo byť na takej úrovni, aby sa zariadenie pred prijímaním alebo odosielaním údajov mohlo overiť samo. Vstavané zariadenia musia často podporovať viaceré spôsoby ukladania svojich poverení v sieti do zabezpečeného úložiska. Správca siete by ich pred uvedením mal vopred poskytnúť na centrálnom mieste. Zabudované a priemyselné IoT zariadenia majú jedinečné protokoly, ktoré sa líšia od tradičných IT protokolov. Brány firewall alebo hĺbkové kontroly paketov sú potrebné na riadenie prevádzky, ktorá je určená na ukončenie zariadenia.
Napríklad priemyselné zariadenia používané vo výrobe majú vlastnú sadu protokolov, ktorými sa riadi komunikácia medzi zariadeniami a rôznymi kontrolnými systémami. Ak sa malwaru podarilo dostať cez firewall, antivírusové techniky založené na kontrole podpisu a čiernej listiny by identifikovali a odstránili problém.
ZABEZPEČENIE DÁT a ochrana osobných údajov zostáva hlavným problémom. Bezpečnostné opatrenia, ako napríklad virtuálne privátne siete (VPN) alebo šifrovanie fyzických médií, 802.11i (WPA2) alebo 802.1AE (MACsec), boli vyvinuté s cieľom zabezpečiť bezpečnosť dát v pohybe.
Po uvedení zariadenia a bezpečnom zabezpečení na sieti musia byť do zariadenia vkladané neustále opravy firmvéru a aktualizácie softvéru.
Komplexný bezpečnostný rámec zariadení by mal obsahovať:
ŠIFROVANIE – Dôležité je šifrovanie dát v pokoji, ale aj na ceste medzi vysielajúcim a prijímajúcim zariadením, teda v pohybe. Technológie šifrovania dát, ako napríklad Secure Socket Layer (SSL) a Transport Layer Security (TLS) a X.509 PKI (Public Key infrastucture) pre šifrovanie dát v celej sieti. PKI sú certifikáty využívajúce autentifikáciu zariadení zo zachovaním ich integrity.
AUTENTIFIKÁCIA – Prebieha prostredníctvom hesla až po dvojfaktorové autentifikácie, biometrické údaje alebo dvojfaktorové autentifikácie. Pre zabezpečenie štandardnej a podnikovej siete Wi-Fi môže fungovať napr. PSK, Wi-Fi Protected Access 2 (WPA2)-Enterprise a Extensible Authentication Protocol (EAP).
VERIFIKÁCIA - Secure Boot, (kryptograficky overuje firmvérové a softvérové balíky počas bootovania) a aktualizácia Secure Firmware-Over-The-Air (FOTA) zabezpečuje, že iba autorizovaný firmware dostane programom zabezpečené úložisko, ktoré chráni kritické informácie o kľúči a hesle na zariadení.
OEM, ktorí vedome spolupracujú so svojimi dodávateľmi, sú schopní prinášať nový pohľad na potreby a riešenia problémových oblastí. Jedným z nich je aj náš dodávateľ, spoločnosť Lantronix. Bloky, moduly, brány a IT sieťové zariadenia spoločnosti Lantronix poskytujú rôzne integrované technológie, ktoré pomáhajú OEM vytvárať bezpečné pripojené zariadenia, ako aj riešenia pre poskytovateľov riešení, systémových integrátorov a koncových používateľov, aby zaistili kompletnú bezpečnosť IoT pre svoje aplikácie s úplnou bezpečnosťou celého životného cyklu zariadenia.
REFERENCIE:
Gartner, Securing the Internet of Things ,
Forbes, Transforming Economic Growth with The Industrial Internet of Things
Wikipedia, Industrie 4.0
Zdroj: Lantronix.com
Páčia sa Vám naše články? Nezmeškajte už ani jeden z nich!
Nemusíte sa o nič starať, my zabezpečíme doručenie až k Vám.